顧客情報を開示する場合、企業はどのような責任を負うのでしょうか?

数百万の顧客情報が漏洩

公安部は、顧客情報を漏洩した一連のテクノロジー企業や、漏洩した乗客情報を利用し、SMSメッセージでサービスを勧誘したタクシーサービス仲介会社を指摘した。公安部はまた、個人情報の漏洩や売買の現状は一般的で、公然としており、ますます複雑になっていると述べた。さらに深刻なのは、データの多くがサイバースペース上で長期間にわたり大量に公開販売されてきたことだ。売買は個人間で個別に行われるだけでなく、企業、組織、事業体の参加も伴います。

2018年、 Thegioididong.comの情報が漏洩し、ハッカーが電子メールアドレス、取引履歴、さらにはカード番号などの重要な情報を入手したというニュースがテクノロジーフォーラムで報じられ、何百万人もの顧客が不安に陥りました。 Gioi Di Dong は直ちにプレスリリースを発表し、これは偽情報であり、システムは依然として安全で、正常に動作しており、まったく影響を受けていないことを確認しました。それから、すべてが徐々に静かになりました。

2018年4月、VNGは1億6000万件のZing IDアカウントが漏洩する危険があり、同社のゲーム顧客基盤の一部に影響を及ぼす可能性があると記録した。同社は、技術的な対策を通じて、侵入への対応、侵入の防止、事件の影響を受けるユーザーの数を制限するための措置を速やかに講じたと述べた。しかし、VNGは、多数のユーザーの情報が漏洩したことを認めたが、「この事件で実際に影響を受けたユーザーの範囲は大きくなく、ゲーム顧客に集中しており、他のVNG製品には影響しない」とし、常に顧客の権利と安全を確保し、顧客に生じる問題を徹底的に解決することを約束した。

アテナサイバーセキュリティセンターのヴォ・ド・タン氏によると、公安省が言及したような具体的なケースについては、会社のシステムが攻撃されたのか、それとも会社の従業員がデータを盗んで公開したのかを知るための調査が必要だという。しかし、理由が何であれ、データが漏洩するということは、会社のシステムに脆弱性があることを意味します。ここでの脆弱性は技術的なものでも人的なものでもかまいません。したがって、ネットワークのセキュリティと安全性全般の確保、または顧客の個人データの保護は、怠ることなく、24時間365日、定期的に監視および実施する必要があります。ハッカーはいつでも攻撃する可能性があるため、自分のシステムが常に安全であると断言できる人は誰もいないからです。自社の従業員が顧客データを盗み出して社外に販売しているという状況も言うまでもありません...

世界には重い罰則があるが、ベトナムには制裁がほとんどない。

最近、顧客情報が漏洩する事件が相次いでいるが、処罰や制裁を受けた部署はほとんどない。一方、世界各国ではこのような行為を厳しく処罰しています。たとえば、2019年7月、米国連邦取引委員会は、このソーシャルネットワークのユーザー8,700万人の個人データがケンブリッジ・アナリティカによって不正にアクセスされ、使用されたことを受けて、Facebookに50億ドルの罰金を科すことを決定しました。捜査によると、フェイスブックは2016年の大統領選挙運動中や英国のEU離脱を問う国民投票中に、メディア企業ケンブリッジ・アナリティカが米国のユーザー5000万人のデータに不正にアクセスすることを許可していた。これは、ユーザーデータを漏洩したスキャンダルに対する罰金としては史上最大規模となる。

ベトナムでは、情報漏洩や開示に対する罰則に関する規制が数多くあります。現在、サイバーセキュリティ分野における違反に対する行政罰を規定する政令草案（協議中であり、政府の公布を待っている）では、個人データ保護に関する規制に違反した組織に対する最大罰則は、2回目以降の違反に対して、ベトナムでの前会計年度の総収入の最大5％の罰金であると規定されています。同時に、個人データを収集する必要がある業種に対しては、1～3か月間の営業許可を取り消すという追加の罰則が科される可能性があります。

ベトナムサイバーセキュリティテクノロジー社の技術ディレクターであるヴー・ゴック・ソン氏は、これまでは個人情報保護に関する詳細な規制がなかったため、法律に違反した企業や組織は行政罰のみの対象となると述べた。したがって、次期法案で提案されている総収入の最大5％の罰金はベトナムに適しており、顧客データの保護において各部門がより大きな責任を負うことに対する抑止力として機能する。しかし、孫氏によれば、この罰金は世界に比べればまだ高くないという。多くの国では、ほとんどの罰則は各違反の影響の規模に基づいて評価されるからです。たとえば、小規模な企業による違反であっても、多数のユーザーに重大な影響を与える場合、罰金は依然として非常に高額になります。 「ベトナムでは、個人情報漏洩の個々の事例の影響を評価する尺度がまだないため、収益に基づいた罰金を提案するのは合理的です。これは、人々の個人データを管理し保護するプロセスにおける新たな前進となると思います」とヴー・ゴック・ソン氏は述べた。

ヴォ・ド・タン氏もこれに同意し、顧客の個人情報を保護する行為に対する具体的かつ公的な行政罰則に関するより詳細な規制を設けることで、企業はネットワークセキュリティシステムを見直さざるを得なくなるだろうとコメントした。顧客情報の機密性を確保するために、技術リソースと人的リソースの両方に対して定期的な評価と監視のプロセスが存在します。これは、オフィスビルや混雑した場所における火災安全を確保するための規制に似ています。国家管理機関も検査や監督を強化し、違反企業を厳しく処罰する必要がある。初回はメディアで公開される可能性があります。 2 回目の違反には、対応する行政罰が科せられ、その後、企業がネットワーク セキュリティ システムを強化できるように、一定期間サービスが停止される可能性があります。